Modelado de directivas de grupo y resultados de directivas de grupo
En entornos de Servicios de dominio de Active Directory, utilice el Modelado de directivas de grupo en la Consola de administración de directivas de grupo (GPMC) para simular la implementación de objetos de directiva de grupo (GPO) en cualquier equipo de destino. La herramienta principal para ver la aplicación real de los GPO es mediante el uso de resultados de directivas de grupo en la GPMC.
Requisitos previos
Para usar la GPMC y realizar el modelado de directivas de grupo, debe completar los siguientes requisitos previos.
- Tener instalada la característica administración de directivas de grupo en un equipo que ejecuta Windows Server o un sistema operativo cliente de Windows.
- Tener los permisos de seguridad de lectura en el directorio y los GPO.
- Para vincular los GPO, necesita el permiso de modificación en ese sitio, dominio o unidad organizativa. De forma predeterminada, solo los Administradores de Dominio y los Administradores de Empresa tienen este permiso.
- Los usuarios y grupos con permiso para vincular los GPO a un sitio, dominio o unidad organizativa específicos pueden vincular los GPO, cambiar el orden de los vínculos y establecer la herencia de bloques en ese sitio, dominio o unidad organizativa.
Modelado de directivas de grupo
El Asistente para modelado de directivas de grupo de la GPMC calcula el efecto neto simulado de los GPO. El modelado de directivas de grupo también puede simular factores como la pertenencia a grupos de seguridad, la evaluación de filtros de Instrumental de administración de Windows (WMI) y los efectos de mover objetos de usuario o equipo a un contenedor de Active Directory diferente. Un servicio que se ejecuta en el controlador de dominio realiza la simulación. Esta configuración de directiva calculada se informa en HTML y se muestra en la GPMC en la pestaña Configuración del panel de detalles de la consulta seleccionada. Para expandir y ocultar la configuración de directivas en cada elemento, seleccione Ocultar o Mostrar todo para ver todas las opciones de configuración de directiva o solo algunas. Para realizar el modelado de directivas de grupo, debe tener el permiso Realizar análisis de modelado de directivas de grupo en el dominio o unidad organizativa que contiene los objetos en los que desea ejecutar la consulta.
Para simular una implementación de directiva para planear y probar, siga los pasos.
Para abrir la GPMC, seleccione Inicio, escriba Administración de directivas de grupo en el cuadro de búsqueda y, a continuación, seleccione Administración de directivas de grupo.
En el árbol de consola de la GPMC, haga clic con el botón derecho en Modelado de directivas de grupo, seleccione Asistente para modelado de directivas de grupo.
Seleccione Siguiente para empezar.
Seleccione el dominio que desea modelar y, a continuación, seleccione una de las siguientes opciones:
Opción Descripción Cualquier controlador de dominio disponible que ejecute Windows 2003 o posterior El controlador de dominio más cercano procesa la simulación. Este controlador de dominio Especifica el controlador de dominio para procesar la simulación. Una vez que haya seleccionado uno de los botones de radio, seleccione Siguiente.
Seleccione el contenedor en el que se encuentran los usuarios o especifique un usuario concreto usando el nombre distintivo (DN) del usuario. Puede seleccionar Examinar para buscar un contenedor o un usuario en lugar de escribir el DN. Repita este paso para el contenedor de equipos o el equipo específico y, a continuación, seleccione Siguiente.
Seleccione Siguiente o, alternativamente, complete la siguiente información para simular la configuración de directiva para:
Opción Descripción Conexión de red lenta (por ejemplo, una conexión telefónica) La respuesta a una conexión de directiva lenta varía entre las directivas. La directiva puede especificar la respuesta a un vínculo lento. Por ejemplo, puede especificar si se permite el procesamiento de scripts a través de una conexión de red lenta. Procesamiento de bucle invertido Seleccione Reemplazar o Combinar. Para obtener información sobre el modo de procesamiento de bucle invertido, consulte Procesamiento de directivas de grupo. Sitio Seleccione el sitio de Active Directory para simular la configuración de directivas. Una vez que haya seleccionado uno de los botones de radio, seleccione Siguiente.
Seleccione Siguiente o, alternativamente, seleccione Agregar o Quitar para simular el efecto de los cambios en la pertenencia a grupos de un usuario. Cuando haya confirmado los grupos que se van a simular, seleccione Siguiente.
Seleccione Siguiente o, alternativamente, seleccione Agregar o Quitar para simular el efecto de los cambios en la pertenencia a grupos de un equipo. Cuando haya confirmado los grupos que se van a simular, seleccione Siguiente.
Seleccione Siguiente o, alternativamente, complete la siguiente información para simular el efecto de los cambios en los filtros WMI aplicados a los usuarios:
Opción Descripción Todos los filtros vinculados Usa los filtros aplicados actualmente a cualquiera de las directivas vinculadas. Solo estos filtros Seleccione Enumerar filtros para mostrar el objeto aplicado actualmente a cualquiera de las directivas alineadas. Para quitar filtros específicos, seleccione el filtro y, a continuación, seleccione Quitar. Cuando haya confirmado los grupos que se van a simular, seleccione Siguiente.
Consulte la pantalla Resumen de selecciones y, a continuación, seleccione Siguiente para ejecutar la simulación.
Seleccione Finalizar para completar el asistente.
Después de completar el asistente, los resultados se muestran como si fueran de un único GPO. También se guardan como una consulta que se representa como un elemento nuevo en la GPMC, en el modelado de directivas de grupo. Bajo el título GPO ganador, la pantalla también muestra qué GPO es responsable de cada configuración de directiva. También puede ver información de precedencia más detallada (por ejemplo, los GPO que intentaron establecer la configuración de la directiva, pero no lo consiguieron). Para ello, haga clic con el botón derecho en el elemento de consulta y, a continuación, seleccione Vista avanzada. La Vista avanzada abre el complemento Conjunto de directivas resultante. Cada configuración de directiva tiene una pestaña Precedencia cuando se visualizan las propiedades de la configuración de directivas en Conjunto de directivas resultante.
Tenga en cuenta que el modelado de directivas de grupo no incluye la evaluación de los GPO locales. Por lo tanto, en algunos casos puede haber una diferencia entre la simulación y los resultados reales. Para guardar los resultados de modelado, haga clic con el botón derecho en la consulta y seleccione Guardar informe.
Resultados de directivas de grupo
Use el Asistente para resultados de directivas de grupo para determinar qué configuración de directivas de grupo está en vigor para un usuario o equipo mediante la obtención de datos RSoP del equipo de destino. A diferencia del modelado de directivas de grupo, los resultados de la directiva de grupo revelan la configuración real de las directiva de grupo que se aplicaron al equipo de destino.
La configuración de directiva se informa en HTML. El informe se muestra en la ventana del explorador GPMC en las pestañas Resumen y Configuración del panel de detalles de la consulta seleccionada. Puede expandir y contraer la configuración de las directivas en cada elemento. Para ello, haga clic en Ocultar o Mostrar todo para ver todas las configuraciones de las directiva o solo algunas. Para acceder de forma remota a los datos de la directiva de grupo de un usuario o equipo, debe tener el permiso de seguridad Acceso remoto a los datos de los resultados de la directiva de grupo en el dominio o unidad organizativa que contiene el usuario o el equipo. Para configurar los permisos, seleccione primero el dominio, el contenedor, la unidad organizativa y, a continuación, seleccione la pestaña Delegación. En la pestaña Delegación, seleccione Acceso remoto a los datos de los resultados de la directiva de grupo en el menú desplegable. Alternativamente, debe ser miembro de un grupo local de Administradores en el equipo correspondiente y debe tener conectividad de red con el equipo de destino.
Para ejecutar el Asistente para resultados de directivas de grupo, siga estos pasos.
Haga clic con el botón derecho en el elemento Resultados de directivas de grupo y, a continuación, seleccione Asistente para resultados de directivas de grupo.
Seleccione Siguiente para empezar.
Seleccione Este equipo y elija Siguiente. Opcionalmente, puede seleccionar Otro equipo y escribir el nombre del equipo y, a continuación, seleccionar Siguiente.
Seleccione Usuario actual y, a continuación, Siguiente. Opcionalmente, puede elegir Seleccionar un usuario específico y elegir el nombre de usuario de la lista de usuarios que han iniciado sesión en el equipo. Seleccione Siguiente para continuar.
Consulte la pantalla Resumen de selecciones y, a continuación, seleccione Siguiente para ejecutar los resultados de la directiva de grupo.
Seleccione Finalizar para completar el asistente.
La GPMC crea un informe que muestra los datos de RSoP para el usuario y el equipo especificados en el asistente. Bajo el título GPO ganador, la pantalla muestra qué GPO es responsable de cada configuración de directiva en la ficha Configuración.
Para guardar los resultados de modelado, haga clic con el botón derecho en la consulta y, a continuación, seleccione Guardar informe.
Evaluación de la configuración de directiva desde la línea de comandos
Puede ejecutar gpresult.exe en el equipo local para obtener los mismos datos que puede obtener mediante el Asistente para resultados de directivas de grupo en la GPMC. De forma predeterminada, gpresult.exe devuelve la configuración de directiva en vigor en el equipo en el que se ejecuta. gpresult.exe genera sus resultados en un archivo HTML que puede abrir con Microsoft Edge u otro explorador web.